GCP Solución segura

Implementación de infraestructura de red segura en GCP


Resumen

Este proyecto se enfoca en el diseño y despliegue de una arquitectura de red segura utilizando servicios de Google Cloud Platform (GCP). La solución establece una defensa multicapa para mitigar vectores de ataque comunes, garantizando la confidencialidad, integridad y disponibilidad de los datos y servicios. Demostrando la capacidad de transicionar arquitecturas de red tradicionales a entornos de nube escalables y gestionados.


Arquitectura de la solución

Esta solución está diseñada para proporcionar un entorno seguro y eficaz que permita a los usuarios acceder de manera segura a los recursos de la red interna a través de una VPN, al mismo tiempo protege la infraestructura de amenazas externas e internas.


Diagrama de arquitectura de nube

Google Cloud Platform

Cloud Firewall

Region: us-west1

VPC Inside

VPC VPN

VPC Outside

Subnet: vpc-inside-us-w1

Subnet: vpc-vpn-us-w1

Subnet: vpc-outside-us-w1

🌐 Internet

🔒 VPN Server & IDS
(Compute Engine)

👥 Virtual Private Network for VPN Users

🛡️ IPS Firewall

📦 Domain Server
(Compute Engine)

📂 File Server
(Compute Engine)

🌐 Web Server
(Compute Engine)

🗄️ Log Server
(Compute Engine)


Arquitectura de red

La arquitectura de red se compone de tres subredes para proporcionar aislamiento de tráfico y limitar el acceso no autorizado, ayudando a proteger los activos críticos.

  • WAN (Internet): Representa el entorno externo y el acceso público.
  • DMZ (VPC Outside): Un segmento de red que aloja servidores accesibles desde Internet, protegido entre la red interna y la externa.
  • LAN (VPC Inside): La red interna de confianza donde residen los servidores de uso interno.
  • VPN (VPC VPN): Esta segmento de red está destinado a asignar direcciones IP a los usuarios de la VPN, facilitando la conectividad segura.

Componentes y tecnologías

  • Firewall (Google Cloud): Actúa como la primera línea de defensa, protegiendo la red contra el tráfico malicioso proveniente de Internet y controlando las comunicaciones generales de las VPCs.

  • Firewall IPS (FortiGate): Se utiliza para gestionar de forma granular el tráfico entre todas las subredes implementando políticas de seguridad más detalladas.

  • VPN (IPSec): Establece una conexión segura y cifrada para el acceso remoto a la red interna, protegiendo los datos en tránsito.

  • IDS (Snort): Se utiliza para monitorear y detectar posibles intrusiones y actividades maliciosas en tiempo real. Este sistema genera alertas y para informar amenazas detectadas.

  • Servidor de logs (Graylog): Se implementa un servidor dedicado para la visualización centralizada de los logs generados por el IDS (Snort), facilitando el análisis forense y el monitoreo de la seguridad.

  • Servidor de dominio (Samba4): Implementado para la gestión de usuarios y grupos, demostrando la capacidad de autenticación y control de acceso en un entorno de red.

  • Servidor web (Apache, MySQL, PHP): Destinado para alojar una aplicación web y una base de datos MySQL, con el objetivo de demostrar la protección contra ataques como la inyección SQL y el Cross-Site Scripting (XSS) mediante la configuración del firewall.

Componente clave: FortiGate NGFW

FortiGate Next-Generation Firewall aporta una capa de seguridad especializada que va más allá de un simple firewall, reforzando la defensa de la red de manera granular y avanzada.

  • Sistema de prevención de intrusiones (IPS): FortiGate utiliza firmas para detectar y bloquear en tiempo real exploits y comportamientos maliciosos, complementando a Snort al prevenir activamente las amenazas.
  • Antivirus y antimalware: Esta funcionalidad inspecciona el tráfico de red en busca de malware, virus y troyanos para evitar su propagación entre subredes.
  • Web Application Firewall (WAF): Aunque el servidor web esté en la zona WAN, el WAF de FortiGate es crucial para proteger las aplicaciones de ataques comunes como inyección SQL y XSS a nivel de aplicación.
  • Filtrado web y de contenido: Permite controlar el acceso a sitios web basándose en categorías, reputación y firmas maliciosas para evitar conexiones a sitios de comando y control de malware.
  • Análisis de tráfico y detección de amenazas: Analiza el comportamiento del tráfico para identificar anomalías y patrones inusuales que puedan indicar ataques de día cero o nuevas técnicas.
  • Control de aplicaciones: Identifica miles de aplicaciones, incluso si usan puertos no estándar, para darte un control granular sobre el uso de aplicaciones específicas en tu red.
  • Reporting y monitoreo detallado: Genera informes y logs detallados sobre el tráfico y los eventos de seguridad, facilitando el análisis forense y la auditoría.
  • Defensa de amenazas unificada (UTM): Combina múltiples funcionalidades de seguridad en una sola plataforma, simplificando la gestión y permitiendo que las diferentes capas de defensa compartan inteligencia sobre amenazas para una protección más coordinada.

Implementación de infraestructura y configuraciones

Se incluyen capturas de la implementación y configuraciones más importantes para el funcionamiento correcto de la solución.

Redes de VPC

Pasted image 20250904164617.png

Subredes

Pasted image 20250904164712.png

Direccionamiento IP

Subred Rango de IPs Componente Interfaz
LAN 192.168.11.0/24 Servidor de dominio Nic0
Servidor web Nic0
Servidor de archivos Nic0
Servidor de logs Nic0
Firewall FortiGate Nic1
DMZ 192.168.10.0/24 Servidor VPN e IDS Nic0
Firewall FortiGate Nic0
VPN 192.168.43.0/24 Firewall FortiGate Nic2

Configuración de conexiones de VPC a través de políticas de Firewall

Origen Destino Política
Google Cloud Firewall
Internet (WAN) VPC Outside (DMZ) Permitido
Internet (WAN) VPC Inside 1 (LAN) Denegado
Internet (WAN) VPC VPN (VPN) Denegado
FortiGate NGFW
VPC Outside (DMZ) VPC Inside 1 (LAN) Permitido
VPC Outside (DMZ) VPC VPN (VPN) Permitido
VPC Outside (DMZ) Internet (WAN) Permitido
VPC Inside 1 (LAN) VPC VPN (VPN) Denegado
VPC Inside 1 (LAN) Internet (WAN) Permitido
VPC Inside 1 (LAN) VPC Outside (DMZ) Permitido
VPC VPN (VPN) Internet (WAN) Permitido
VPC VPN (VPN) VPC Outside (DMZ) Permitido
VPC VPN (VPN) VPC Inside 1 (LAN) Permitido

Políticas de Firewall de VCP

Pasted image 20250904165117.png
Pasted image 20250904165226.png
Pasted image 20250904165317.png

Rutas creadas

Pasted image 20250904165417.png

Instancias de VM

Pasted image 20250904182627.png

Interfaces configuradas dentro de FortiGate

Pasted image 20250904165855.png

Rutas estáticas configuradas dentro de FortiGate

Pasted image 20250904165957.png


Prueba externa de ping masivo

Pasted image 20250904174752.png

Pasted image 20250904174931.png

Pasted image 20250904175026.png


Simulación de ataques internos

Escaneo de puertos y detección de SO a VM

Pasted image 20250904181700.png

Ataques DDOS y SYN Flooding a VMs de red LAN

Pasted image 20250904180432.png

Intento de reconocer hosts conectados a la red

Pasted image 20250904181440.png

Visualizar logs de eventos en consola de FortiGate

Pasted image 20250904180606.png
Pasted image 20250904180644.png

Pasted image 20250904182108.png

Visualizar métricas de eventos en Graylog

Pasted image 20250904180130.png


Resultados y logros destacados

  • Mitigación de ataques: La solución demostró ser efectiva en la mitigación de diversos ataques cibernéticos, incluyendo DDoS, SYN Flooding, y Spoofing, mediante las configuraciones de firewall e IDS/IPS.
  • Defensa en profundidad: La combinación de Google Cloud Firewall, FortiGate, VPN IPSec, IDS, servidor de logs y segmentación de red creó una estrategia de defensa en capas, fortaleciendo la seguridad general de la infraestructura en la nube.
  • Acceso remoto seguro: La implementación de la VPN IPSec garantizó que los usuarios pudieran acceder a los recursos internos de forma segura desde ubicaciones externas.
  • Monitoreo y visibilidad: La implementación de un servidor de logs y la interfaz de firewall FortiGate permitieron un monitoreo exhaustivo y una respuesta proactiva ante incidentes de seguridad, proporcionando una visibilidad completa del tráfico de la red.